1013・正規のソフトウェアのアップデートで、不正なプログラムが実行される

アップデート機能を利用した、新たなウイルス感染(標的型攻撃)の手口が確認されました。

今回狙われたのは、動画再生ソフト「GOMプレーヤー」です。

現在、セキュリティ対策を支援する(株)ラックより注意喚起が促されています。

詳細は、こちらから

この手口は、行政機関を標的としている可能性もあり、高速増殖炉「もんじゅ」(福井県)のパソコンも、この手口で情報を抜き取られています。

内閣官房情報セキュリティセンター(NISC)は、全省庁を対象に、GOMプレーヤーの更新を禁じる注意喚起を促しました。

【感染までの流れ】
ソフトを起動すると、偽の通知(アップデートのお知らせ)が、パソコン画面に現れ、更新すると感染する仕組みです。
何者かがソフト更新用のサーバーを攻撃し、利用者を不正サーバーへ転送してパソコンを感染させ、遠隔操作する仕組みです。

この手口は、正規のソフトウェアアップデート中に感染が起こるため、ユーザー側で攻撃を防ぐのは難しく、攻撃を受けた事もわかりません。

【今後の対策】
GOM Playerの利用者は「安全が確認されるまでアップデートを行わない」ことを推奨しています。

GOM Playerをアップデートする場合は、GRETECH社の正規Webサイトや、窓の杜ライブラリからインストーラーをダウンロードし、上書きインストールすることを推奨しています。

今回は「GOM Player」が標的になりましたが、同様の手口は、今後、他のソフトウェアでも利用される可能性があります

986・履歴書.zipに要注意

マイクロソフト社が提供する「Microsoft Office」の脆弱性を悪用する、標的型攻撃に対し、IPAが注意喚起を発表しています。

IPAは、こちらから

この脆弱性（CVE-2013-3906）を悪用する標的型メール攻撃は、件名、本文、添付ファイル名などに日本語が使われ、「履歴書.zip」という名称の添付ファイルを解凍して得られるWordファイルを開くことで、PCがマルウェアに感染します。

■履歴書.zip　対策

この攻撃に対する対策は、マイクロソフト社が公開している「Fix it 51004」を適用することで回避できます。

攻撃メールに添付された文書ファイルを開いても、「Fix it 51004」が適用されたPC環境では、マルウェアに感染しないことが確認されています。

Fix it 51004は、こちらから

622・偽セキュリティ対策ソフト型ウイルス

IPA（情報処理推進機構）技術本部セキュリティセンターは、偽セキュリティ対策ソフト型ウイルスの対処法を公開しました。

対処法（IPAサイト）は、こちらから

対処法（PDF版）は、こちらから

偽セキュリティ対策ソフト型ウイルスとは

• 「ウイルスに感染している」「ハードディスク内にエラーが見つかりました」といった偽の警告を表示し
• 解決策として有償版製品の購入を迫る
• これらを購入してもトラブルは解決しない

という詐欺ウィルスで、クレジットカード番号などを入力させて金銭を騙し取られる場合もある悪質なウィルスのことです。

要注意ソフト名は、

• 「Disk Antivirus Professional」
• 「AVASoft Professional Antivirus」

などで、これらのウイルスが侵入すると、ブラウザーなどのプログラムが正常に動作しなくなったり、ファイルが見えなくなったりします。

感染する経路は、セキュリティ対策が実施されていないパソコンで、悪意あるサイトを閲覧した場合、ウイルスが自動的にダウンロードされて感染することが考えられます。

462・Skype経由のウイルス

Skypeのチャット画面に「lol is this your new profile pic? 」というメッセージと共に、短縮URLが送られた場合は要注意です。

URLアドレスをクリックすると、Skypeを乗っ取られ、5分に1回くらいのペースで、自分のコンタクトの相手に対し「lol is this your new profile pic? 」と、その相手のSkypeIDが表示された短縮URLを貼るチャットを打ち続けるようになってしまいます。

さらに、Internet Explorerからサイトに接続できなくなる場合もあります。

【貼られる短縮URLアドレス】
【http://goo.gl/×●△■img=スカイプID】

【ファイル送信にも要注意】
Skypeコンタクトの相手から「skype_06102012_image.zip」「skype_02102012_image.exe」といったファイルが送信されてきた場合も要注意です。

そのURLアドレスをクリックすると、上記の症状に陥ってしまいます。

1. 上記のチャットで貼られたURLには絶対に飛ばないこと
2. skypeで始まる圧縮ファイルやプログラムが送られてきても絶対に開かないこと

459・正規のネットバンキングに表示される不正ポップアップ画面に注意！

情報処理推進機構（IPA）は、インターネットバンキングで新たな犯行の手口が確認されたとして注意を呼びかけています。

その手口は、インターネットバンキングの利用者を狙い、正規のサイトに不正なポップアップ画面を表示して、合言葉や乱数表を利用者に入力させ、これらの情報を窃取しようとするものだということです。

従来のフィッシング詐欺では「見た目はそっくりだが、完全に別のサイト」に利用者を誘導して情報を入力させようとするのに対して、今回の手口は「本物のサイトにアクセスしたら、"途中から"偽の画面が出現する」という点が異なっていると指摘しています。

本物のサイトへのログイン後の表示であるため、利用者が信用してしまい、被害が広がったと推測しています。

[不正の手口]

不正行為は、利用者のパソコンをウイルスに感染させるところから始まります。

【１】ウイルスに感染させる

具体的な方法は、以下が考えられます。

・ウイルス添付メールを送りつける

・迷惑メールやSNS上のコメントや投稿にウイルス配布サイトのURLを記載し誘導する

・Webサイトを改ざんし、ウイルス配布サイトへ誘導する

【２】不正なポップアップ画面で入力画面を表示させる

そのウイルスに感染したパソコンでインターネットバンキングのサイトにログインする際に、乱数表や合言葉などの入力を促す、不正なポップアップ画面が表示される。 

【３】パソコン利用者が情報を入力してしまう

利用者は、本物のサイトが入力を促しているものと思い、乱数表や合言葉などを入力してしまう。

その後、入力された情報が悪意ある者へ渡ってしまうことが考えられます。 

被害にあわないための対策とは？

被害にあわないために、インターネットバンキング利用時の注意点と対策について実施することが重要です。

【インターネットバンキング利用時の注意点】

乱数表や合言葉などを一度にすべて入力しない

インターネットバンキングなどの金融機関が第二認証情報（乱数表や合言葉など）すべての入力を求めることは通常ありません。第二認証情報「すべて」の入力を促す画面が表示された場合は、絶対に情報を入力しないようにしてください。

【対策１】使用しているパソコンのOSやアプリケーションなどの脆弱性を解消する

OSやインストールされているソフトウェアには、最新の更新プログラムを適用して、脆弱(ぜいじゃく)性を解消してください。

【対策２】ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保ちながら使用する

ウイルス対策ソフトを導入し、ウイルス定義ファイルを最新に保つことで、ウイルスの侵入阻止や、侵入してしまったウイルスを駆除することができます。

また、ウイルス対策ソフトを選択する際は、ウイルスの発見と駆除だけでなく、危険なウェブサイトを閲覧しようとした時にブロックを行う機能などを備える、「総合型」のご利用を推奨します。

201・7月9日にネットがつながらない！（DNSChanger）

7月9日でネット接続不能になる人とは

DNSChangerは、感染したパソコンやルーターのDNS設定を、不正なDNSサーバーを参照するよう書き換えるものです。
その結果、正規のWebサイトへアクセスしようとして、不正なサイトに誘導される恐れがあります。

すでに犯罪者グループは昨年11月にFBIなどによって摘発されていますが、参照先となっていた不正DNSサーバーが閉鎖されてしまうと、感染している多数のパソコンがインターネットを利用できなくなってしまいます。

DNSサーバーは7月9日で運用を停止する予定です。

感染に気付かずにいるパソコン利用者からは、この日以降、インターネット接続が遅くなるか、完全に接続不能になります。

現在、DNSChangerに感染しているパソコンは約50万台。

日本の一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）でも詳細を公開しています。

確認方法

Web ブラウザで 以下のDNS Changer マルウエア感染確認サイトをクリックします。

DNS Changer マルウエア感染確認サイト

以下の画面が出たら大丈夫です！

以下の画面が出たら、感染しています！

7月9日以降、ネットに接続できなくなります。

感染が見つかったら、ウイルス対策ソフトウエアの定義ファイルを最新に更新して、システム全体のスキャンを行ってください。

または、私まで連絡してください。

120・セキュリティ用語

セキュリティ用語を理解しましょう！


セキュリティについて理解するには、まず用語の意味を理解しないとダメですよね。

Microsoftから、Microsoftのサイトで使用されている言葉を定義しています。

Microsoftさんのセキュリティ用語一覧はこちら

皆さん、セキュリティについて正しく理解しましょうネ！

368・Outbound Port25 Blockingとは

突然メールの送信ができなってしまった！

現在、国内のプロバイダーでは、迷惑メール対策の一つとして、Outbound Port25 Blockingが実施されています。

この実施により、悪意あるユーザーが、インターネット接続サービスを利用して大量の迷惑メールを送信する行為を規制することができます。

また、パソコンにウイルスが感染することにより、知らないうちに大量の迷惑メールが送信される問題も回避することができます。

Outbound Port25 Blockingは、迷惑メール対策の一つとして最近注目されている手法です。

迷惑メールの多くは、プロバイダーが用意するメールサーバーを利用せずに、自分のパソコンにメールサーバーを設置して、不特定多数に送信されています。

プロバイダーのメールサーバーを利用しないメールの送信に対して一定の制限を加え、迷惑メールの送信を抑制する手法を Outbound Port25 Blockingといいます。

具体的には、メール送信時に利用される「Port25番（Port25)」および、メール送信経路を監視し、特定条件のメール送信を制限します。


【迷惑メール送信を防ぐ】

迷惑メールを送信の段階でブロックするため、迷惑メールの発信自体を防止することができます。


【ウイルス感染の拡大防止】

ウイルスの中には、プロバイダーのメールサーバーを経由せずに感染したパソコンから、知らない間に不特定多数の方へ大量のウィルスメールを送信してしまう種類のものがあります。

Outbound Port25 Blockingは、このようなウイルス感染によって発生する意図しないパソコンの機密情報や個人情報の流出等につながる大量のメール送信を防ぐことができます。


【迷惑メールの対処法】

急に送信ができなくなった場合は、以下の対処方法によりすぐに正常に送信できるようになります。

利用しているメールサーバーが、サブミッションポート（Port587番）に対応している場合、メールソフトの設定を変更することでメール送信が可能になります。

現在利用しているメールアカウントを選択し、［プロパティ］を確認します。

ここで設定ダブにして送信メール欄のポート番号を、「587」に変更することにより送信できるようになります。

借りているサーバーにより、ポート番号が変わる場合もあるので、確認が必要です。

ISP各社による「OP25Bの実施状況」を調べる時に参考になるサイトは、こちら

246・Facebookからの警告を装う偽メッセージ

6月22日　読売新聞の記事をそのまま引用します。

「Facebookチームからの警告」というアプリ勧誘メッセージ

Facebookの通知画面。友人から偽の警告メッセージが届いている（マカフィーによる）Facebookで不正アプリが問題になっている。

アプリの利用者を増やすために強制的に友人に勧誘メッセージを送ったり、スパムメッセージ（迷惑メッセージ）をばらまく不正なアプリが出回っているのだ。

セキュリティー大手・マカフィーが発見したのは、「WARNING FROM FACEBOOK TEAM」つまりFacebook本体からの警告を装ったメッセージだ（マカフィーの英文記事参照）。

Facebook上で動作するアプリの勧誘メッセージとして送信される。
このアプリ勧誘メッセージは、あなたのFacebook上の友達から送信されてくる。

アプリの名前は「Secure Verify SSDC」。Facebookチームからの警告として送られるため、見た人はアプリの勧誘ではなく、公式の警告メッセージだと誤解してクリックしてしまう可能性がある。
そこが犯人の狙いなのだろう。


Facebookの偽サイトでの警告表示。
著作権法のことを書いているがうそのメッセージである（マカフィーによる）

友人から送られてくるアプリ勧誘メッセージ開くと、アプリ登録の承認を求められる。
承認すると、Facebookにそっくりの偽サイトに誘導され、右の画像のような警告メッセージが表示される。

内容は「FACEBOOK認証チームからのお知らせ。著作権保護法案（SOPA ACT）に基づく詐欺防止のために、すべてのプロフィールは2012年6月10日までに認証を受ける必要があります。期限内に認証を受けられない場合は、アカウントが削除されますのでご注意ください。以下のステップに従ってご利用アカウントの認証を行ってください」というもの。

もちろん完全なうそであり、サイトは偽物で、著作権保護法案とも何の関係もない。単に脅しのために書かれたうその警告メッセージである。

これを本物だと思って承認してしまうと、被害者のFacebookに不正アプリが登録されてしまう。厄介なのはここからだ。

あなたの友人全員に偽警告メッセージが送られる

アプリ登録の途中で、友人全員に勧誘メッセージ（Facebookチームを装ったもの）が送られる（マカフィーによる）

次のステップで、最初に送られてきた偽メッセージ、Facebookチームを装ったものが、あなたの友人全員に送られてしまうのだ。
つまり、だまされたあなたも、詐欺の片棒をかつぐがごとく、偽メッセージの送信者となってしまう。
Facebookの不正アプリのほとんどは、この手法を使っている。ねずみ講のように増殖するので厄介だ。

友人へのメッセージ送信を終えると、最終ステップとしてアンケートへの協力を求められる。
ここが犯人の狙いのようだ。

アンケートの回答として、YouTube動画や他のサイトへ誘導し、そこでの広告クリックやアフィリエイト広告、偽セキュリティーソフト販売などでもうけようとする。
今回の不正アプリでは、とある一つのYouTube動画に誘導されていた。

マカフィーの調べによれば、このYouTube動画の再生数は、6月上旬で62万7000回にも及ぶ。
マカフィーでは「この動画のカウント数のほとんどは、別のFacebook詐欺や今回の偽アプリケーションによるものと推測されます。

Facebookユーザーから寄せられたコメントをみると、セキュリティーに関するユーザーの知識が十分でないことや、ソーシャルネットワークの使用が問題を引き起こす危険性などがよくわかります」と分析している。

実際にYouTubeコメント欄は、詐欺の心配をするコメントが多く、被害者がかなりの数に及ぶことが推測できる。

Facebook不正アプリへの対策

今回の不正アプリは、YouTube動画へ誘導するものだったが、ウイルスなどのマルウエアに感染させるサイトや、個人情報を盗み取ろうとするサイトへの誘導も考えられる。


Facebook上のアプリには今後も警戒する必要がある。

以下のようなFacebookアプリの多くは、スパムメッセージをばらまくなどの不正な動きをするので、承認せず無視することが大切だ。

●カレンダー系：カレンダーに友達の誕生日を登録させるもの（マイカレンダーなど）
●集合写真系：Facebookの友達のアイコンを1枚の写真にして、名前のタグを付けるもの（Friends、Photosなど）
●質問系：友人や自分への質問に回答して公開するアプリ（YouLikeなど）
●診断系：動物や武将にあなたを例えて診断するもの
●グリーティング系：誕生日やクリスマスのイベントなどに画像つきメッセージを送るもの

これらのアプリの多くは、友人にメッセージを送ったり、タグを付けることで友人に加入させることを目的にしている。近寄らずに、無視しよう。

併せて下記のように設定し、不正アプリの拡散を防止したい。

１：Facebook右上のホームの横にある「▼」を押し「プライバシー設定」をクリック
２：下の方にある「広告、アプリ、ウェブサイト」をクリック
３：「利用しているアプリ」を確認し、不要なアプリを削除
４：「友達が利用しているアプリとの情報の共有」をクリックし、すべてのチェックマークを外す

123・Androidは狙われている ！

なぜ、iPhoneではなく、Androidこそウィルス対策ですか？

ウィルスの標的になるのは母体が大きくなければいけません。

そうでなければウィルスの開発コストの割に得るメリットが攻撃者にとって少なくなるからです。
だからWindowsはMacに比べてウィルスの標的にされやすいんですね。

スマホで考えてみると、iPhoneのユーザーもAndroidのユーザーも同じくらいとてつもなく多いです。
しかし、圧倒的にAndroidの方が狙われます。

その理由としてAndroid最大のメリットである自由度がデメリットに働いている事が考えられます。

iPhoneはアプリを端末にインストールする方法がAppStoreしかありません。

AppStoreは厳密にAppleによって審査され品質の低いアプリやウィルス混入の疑いがあるアプリは事前に排除されています。

一方でAndroidは公式のマーケット以外の非公式マーケットからもアプリをインストールする事が出来ます。

ウィルスかどうかのチェックが徹底されていない非公式マーケットがほとんどなので、そうしたサイトから導入したアプリの中にウィルスが混入する可能性が高くなるのですね～。

【Androidウィルスの例】

・GPSを使って位置情報を裏で送信するウィルス「GPSSPY」

パックマンのようなシンプルなゲームに同梱されていたのが、「GPSSPY」。
ユーザーは一度このゲームを起動してしまうと、その後ずっと位置情報を盗まれ続けてしまいます。


・中華製の高額請求カレンダーウィルス「Jmsonez」

カレンダーアプリとして紹介されましたが、実態はあるSMSに対して送信する機能を持った偽カレンダーアプリ。
その送信先からは高額な請求が発生します。


・Androidに感染する極悪乗っ取りウィルス「GoldDream」

特に凶悪だと言われているのが「GoldDream」。
シンプルなレーシングゲームの海賊版の中に同梱されており、海賊版を利用したユーザーの端末に感染します。
感染すると、端末に保存されている着信履歴などを勝手に送信します。


・恋愛支援アプリという名のストーカー悪用厳禁アプリ「カレログ」

恋愛支援という名のもと、彼氏のスマホから 位置情報や通話履歴を盗みだす機能を備えています。
ウィルス対策ソフトでは「logkare」とウィルス認定されてしまい、総務省から指導が入りました。


・root権限を奪取し、端末内の情報を好き勝手送信しまくるアプリ

root権限が奪われるということは、アプリインストール時に通信関連の権限を許可していなくても権限を自分で昇格させて活動を行なう事も可能になるということです。
アプリのインストールから起動まで全て実行する権限を奪われるので、攻撃の踏み台に使われる可能性があります。

まだまだ、続々と発生しています！

アプリ取り放題、というCMに乗せられないように！！
アプリのインストールは慎重にしましょう！！

これ大事！！！

105・（重要）Windows Updateを実行してください！

今日はマイクロソフトさんの、セキュリティ情報公開予定日です。（5月9日）


Windowsのアップデートをしてください。

修正する脆弱性の最大深刻度は、4段階で最も高い「緊急」が3件、2番目に高い「重要」が4件ありますよ～～

詳細はこちら

ウイルス対策のため、常にWindowsのシステムを最新の状態にしましょう！

これ大事！！

100・Worm（ワーム）って、何ですか？

ミミズではありません！

コンピューター・ウイルスのひとつです。

＜伝染方法＞
トロイの木馬と呼ばれるウイルスは、一見、普通のプログラムのように見えますが、これが電子メールなどで送られてきます。

＜動作＞
受け取った人がつい実行してしまいますが、実行すると、そのウイルスが勝手にパソコンの中のプログラムを書き換えたり、データを削除したりします。

また変なメッセージが出るようになったり、最悪の場合はシステムが壊れたりします。

またあとで不正アクセスの手助けをしたり、ほかのコンピュータを攻撃したりします。

ワームは、さらに自己増殖機能を持った厄介なウイルスです。

たとえば、電子メールソフトに登録してある電子メールアドレスに、勝手に自分の分身を送ります。

そのため、次から次へ、アッという間に世界中に被害が広がってしまいます。

＜対策＞
現在、次々と新種が登場しているので、ウイルス定義ファイルを常に最新の状態にしておく（UｐDateしておく）必要があります。

ウイルス対策ソフトのアップデートを忘れない！

これ大事！！！

83・YouTubeからウイルスに感染しますか？

はい、感染します。

ここ最近ではYouTubeに限らず、WEB経由のMalwareが流行ってきてます。

人々が群がるものというのはソーシャルクラッキングに狙われる可能性が高いということです。

メッセンジャーやSkypeもかなり悪用されるようになってきました。

iPhoneが狙われるのは時間の問題でしょう。

 

映像再生するときに、その警告が出たものを閉じても見られるのであれば、怪しいものが付いてきていると言うことです。

気をつけましょう！　と言っても、気がつかないうちに入ってきます。

ウイルス対策ソフトのアップデートをまめにするぐらいしか、対処の方法がありません。

会社で管理しているから大丈夫とは言えないでしょう。

ネットの社会は、ある意味無秩序な世界ですから、会社で管理しているものだから安心と考えるのは、幻想に等しいです。

ある程度疑ってかかった方が安全です。

君子危うきに近づかず！